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Kleine Anfrage 

der Abgeordneten Dieter Janecek, Renate Künast, Anja Hajduk, 
Dr. Danyal Bayaz, Katharina Dröge, Dr. Anna Christmann, 

Beate Müller-Gemmeke, Stefan Schmidt, Tabea Rößner und 
der Fraktion BÜNDNIS 90/DIE GRÜNEN 


Sicherheit und Konformität von loT-Geräten für mehr digitale Souveränität und als 
Baustein eines europäischen Level Playing Fields 


Neben künstlicher Intelligenz (KI) und Distributed Ledger Technologien (DLT) 
ist das Internet of Things (IoT) der dritte digitaltechnologische Treiber, dessen 
Entwicklung und politische Gestaltung enorme Bedeutung für zukünftige Dienste 
und Produkte der Digitalwirtschaft und für digitalisierte Produktionsprozesse (In¬ 
dustrie 4.0) vorhergesagt wird (vgl. https://m2m.telefonica.de/wp-content/uploads/ 
2018/0l/IoT_Studie Deutschland_2018.pdf). KI adressiert dabei aus wirtschaft¬ 
licher Sicht oft Themen wie Effizienz und Innovationen, DLT die für die Wirt¬ 
schaft so relevante Frage „Trust“. Die für die Zukunft digitalen Wirtschaftens 
zentrale Frage nach Sicherheit, Zuverlässigkeit, Konformität und Resilienz ver¬ 
netzter IT-Geräte, von Kühlschränken, Autoradios und Wearables bis zu den stän¬ 
dig zunehmenden und neuen Datengebern im Bereich Automotive bzw. Mobility, 
Industrie, Medizin bzw. Pflege und öffentliche Hand, teils mit umfangreicher 
Sensorik zur Datenerhebung ausgestattet, wird dagegen aus Sicht der Fragesteller 
viel zu wenig thematisiert. Dabei werden die Antworten auf diese Fragen ange¬ 
sichts der exponentiell wachsenden Anzahl an vernetzten Geräten zunehmend 
dringlich. 

Weit über 50 Millionen Intemetrouter in Firmen, Haushalten und im öffentlichen 
Raum allein in Deutschland und erwartet 50 Milliarden vernetzter Geräte aller 
Art bis 2022 weltweit, die untereinander und mit dem Internet verbunden sind, 
führen zu einer enormen Komplexitätssteigerung unserer IT-Infrastruktur (IT = 
Informationstechnik) (vgl. www.it-zoom.de/mobile-business/e/50-milliarden- 
vemetzte-geraete-im-jahr-2022-19966/). Zunehmend sind auch Bereiche mit 
Gefahr für Leib und Leben, und enormen wirtschaftlichen und sonstigen gesell¬ 
schaftlichen Risiken betroffen, etwa durch IoT-Geräte in Fahrzeugen, bei indus¬ 
triellen Produktionsabläufen oder im medizinischen Bereich. Da diese Geräte zu¬ 
dem zunehmend autonom agieren, ist es aus Sicht der Fragesteller von entschei¬ 
dender Bedeutung, ob diese Systeme und die Übertragungswege zu jeder Zeit 
über ein hohes Maß an Sicherheit, Zuverlässigkeit, Konformität und Resilienz 
verfügen. Dabei gilt: Alles, was einen Zugang zum Internet hat oder anderen ver¬ 
schafft, erhöht die Vulnerabilität gegenüber IT-Angriffen, Sabotage, Industriespi¬ 
onage, Kriminalität und Manipulationen aller Art. Neben der IT-Sicherheit sind 
auch Datenschutz und Verbraucherschutz von zentraler Bedeutung, wenn IoT- 
Geräte zunehmend Einzug in den Alltag der Verbraucher und Verbraucherinnen 
halten. 
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Die politische und rechtliche Ausgestaltung des Umfeldes und der Einsatzbedin¬ 
gungen automatisierter Gerät-zu-Gerät-Kommunikation (M2M) zwischen inter¬ 
netfähigen Geräten hat somit eine enorme Bedeutung für mehr digitale Souverä¬ 
nität und den Europäischen Wirtschaftsraum (vgl. A. Weber, S. Reith et al. „Sou¬ 
veränität und die IT-Wertschöpfungskette“ in: Datenschutz und Datensicherheit, 
05/2018, S. 291 -293). 

Die Gerätehersteller haben aber bislang kaum ökonomische Anreize oder regula¬ 
torische Vorgaben, die IT-Sicherheit gleich bei der ProduktentWicklung und über 
den ganzen Produktlebenszyklus hinweg maßgeblich zu berücksichtigen. Und so 
werden täglich mehr Alltagsgeräte und industriell oder im öffentlichen Raum ge¬ 
nutzte Datengeber zum Einsatz im Netz gebracht, die oft einfach gehackt werden 
können, um gezielt Informationen und Daten abzugreifen, Systeme zu manipu¬ 
lieren oder auch in globalen Botnetzen zusammengeschaltet, um gezielt Unter¬ 
nehmen oder gesellschaftlich relevante oder gar kritische Infrastrukturen anzu¬ 
greifen. 

Eine BITKOM-Studie (BITKOM = Bundesverband Informationswirtschaft, Te¬ 
lekommunikation und neue Medien) schätzt den wirtschaftlichen Schaden, 
der allein deutschen Unternehmen durch Datenspionage und digitale Sabo¬ 
tage entsteht, auf derzeit ca. 55 Mrd. Euro im Jahr (www.bitkom.org/Presse/ 
Presseinformation/Spionage-Sabotage-Datendiebstahl-Deutscher-Wirtschaft- 
entsteht-jaehrlich-ein-Schaden-von-55-Milliarden-Euro.html). 

Die Europäische Union hat das Grundproblem zwar erkannt, das nun vorliegende 
Trilog-Ergebnis zum Cybersecurity Act (CSA) (https://ec.europa.eu/commission/ 
news/cybersecurity-act-2018-dec-l 1 de) ist nach Ansicht der Fragesteller aber 
kaum hinreichend. Dem Internet of Things einen grundlegenden regulatorischen 
Rahmen zu setzen, erfordert ein Zusammenspiel von Standardisierungsbemühun¬ 
gen, Konformitätsbewertungsstrukturen und Marktaufsicht. Trotz der Notwen¬ 
digkeit klarer regulatorischer Vorgaben hat man sich im Trilog aber nur auf eine 
rein freiwillige Zertifizierungsteilnahme geeinigt, zudem mit der Option, dass Fir¬ 
men ihre Produkte in Eigenregie zertifizieren können, was nicht ausreicht, um 
den skizzierten Problemlagen gerecht zu werden, den Grundrechtsschutz der Ver¬ 
braucher sicherzustellen und einen klaren regulatorischen Rahmen vorzugeben 
sowie die Rechtssicherheit zu erhöhen. 


Wir fragen die Bundesregierung: 

1. Sieht die Bundesregierung die Notwendigkeit, dass in Analogie zur Gesetz¬ 
gebung durch die Datenschutz-Grundverordnung (DSVGO) auch in weiteren 
digitalpolitischen Bereichen, etwa in Bezug auf die Regulierung von inter¬ 
netfähigen Geräten, ein klarer rechtlicher Rahmen für alle Marktteilnehmer 
auf EU-Ebene gesetzt werden sollte, um so durch gleiche und klare Regeln 
das Funktionieren des Marktes zu ermöglichen? 

2. Inwieweit glaubt die Bundesregierung, dass Sicherheit, Zuverlässigkeit, 
Konformität und Resilienz von IoT-Geräten Bestandteil einer solchen Regu¬ 
lierung sein müssten, oder gar Voraussetzung sind, damit die erwarteten öko¬ 
nomischen Potentiale insbesondere für die deutsche und europäische Wirt¬ 
schaft im Bereich Entwicklung, Handel und Einsatz von IoT-Geräten geho¬ 
ben werden können? 

3. Welchen regulatorischen Ansatz hat die Bundesregierung im Rahmen der 
Aushandlungen zum CSA auf EU-Ebene in Bezug auf die Sicherheit, Zuver¬ 
lässigkeit, Konformität und Resilienz von IoT-Geräten vertreten? 
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4. Welche regulatorischen Ansätze hat die Bundesregierung im Rahmen der 
Aushandlungen zum CSA auf EU-Ebene in Bezug auf die Sicherheit, Zuver¬ 
lässigkeit, Konformität und Resilienz von IoT-Geräten evaluiert oder be¬ 
trachtet? 

5. Wie bewertet die Bundesregierung die im EU-Trilog zum CSA nun vereinbarte 
Strategie einer One-Time-Pre-Market-Certification angesichts der heute ty¬ 
pischen Etersteller- bzw. Marktstrategie kontinuierlicher Softwareentwick¬ 
lung (teils tägliche Updates) und ständiger Hardwareerweiterungen? 

6. Ist die One-Time-Pre-Market-Certification-Strategie aus Sicht der Bundes¬ 
regierung ausreichend, um das Feld der automatisierten Gerät-zu-Gerät- 
Kommunikation zwischen intemetfahigen Geräten zu Gunsten größerer eu¬ 
ropäischer digitaler Eigenständigkeit und der Etablierung eines Level 
Playing Fields für Entwicklung, Handel und Einsatz von IoT-Geräten in der 
EU zu regulieren? 

7. Inwieweit vertritt die Bundesregierung die Position, dass die im EU-Trilog 
zum CSA vereinbarte, rein freiwillige Zertifizierungsteilnahme, und somit 
die alleinige Hoffnung auf eine Marktregulierung durch die Werbewirksam- 
keit eines Gütesiegels hinreichend ist, um die Sicherheit, Zuverlässigkeit, 
Konformität und Resilienz von IoT-Geräten in Deutschland und der EU zu¬ 
mindest auf ein erforderliches Mindestniveau zu bringen? 

8. Inwieweit hält die Bundesregierung eine rein freiwillige Zertifizierungsteil¬ 
nahme, insbesondere beim Einsatz von IoT-Geräten mit Auswirkungen auf 
Leib und Leben (Fahrzeugbetrieb, Steuerung von Industrieanlagen etc.), für 
ausreichend? 

9. Für wie sinnvoll hält die Bundesregierung eine rein freiwillige Zertifizie¬ 
rungsteilnahme vor dem Hintergrund der Frage, ob nicht viel weniger die 
Werbewirksamkeit eines Gütesiegels als die Marktstellung und der Bekannt¬ 
heitsgrad eines Herstellers für den (weiteren) Markterfolg, und damit die 
Verbreitung von Geräten entscheidend sein dürfte, und so eine Wettbewerbs¬ 
verzerrung zu Ungunsten von kleinen bzw. unbekannten Herstellern und von 
Markteinsteigem droht? 

10. Wie bewertet die Bundesregierung die Gefahr, dass die Zertifizierung in Ei¬ 
genregie zum Einfallstor für ungerechtfertigte Zertifizierungen wird und so 
das Vertrauen in die Zertifizierung erodieren könnte? 

11. Hat die Bundesregierung im Rahmen der Aushandlungen zum CSA eigene 
Vorschläge unterbreitet, die über die nun verhandelte Zertifizierung in Ei¬ 
genregie hinausgehen? 

Wenn ja, welche konkret? 

Wenn nein, warum nicht? 

12. Durch welche Maßnahmen und Strategien jenseits der nun im EU-Trilog 
zum CSA vereinbarten Maßnahmen will die Bundesregierung sicherstellen, 
dass im EU-Wirtschaftsraum keine intemetfahigen und automatisiert unter¬ 
einander kommunizierenden bzw. steuernden Geräte gehandelt und einge¬ 
setzt werden, die grundlegenden Sicherheitsstandards nicht entsprechen, und 
deren Hard- und Software-Komponenten für Verbraucher und Sicherheits¬ 
behörden eine „Black Box“ bleiben, und nicht überprüfbar sind? 
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13. Wie beurteilt die Bundesregierung hierzu das Vorgehen derUS-DARPA, die 
Basiskomponenten in einem offenen Prozess zertifiziert, die dann global al¬ 
len Unternehmen und Enthusiasten zur Verfügung stehen, also einen Open 
Source-Ansatz, der die gesamte Wertschöpfungskette, d. h. neben Software 
auch die Hardwarekomponenten (insbesondere die Chips) und die dazu not¬ 
wendigen Entwicklungswerkzeuge umfasst, weil Soft- und Hardware von zu 
zertifizierenden Geräten i. d. R. aus vielen Subkomponenten bestehen, die 
sonst nur als „Black Box“-Ensemble zur Verfügung stehen (siehe https:// 
ieeexplore.ieee.org/document/8432033, 08/2018)? 

14. Wie beurteilt die Bundesregierung die Notwendigkeit, zusätzlich zur geplan¬ 
ten freiwilligen One-Time-Pre-Market-Certification weitere Maßnahmen zu 
ergreifen, etwa auf Bundes- oder EU-Ebene ein Up-to-Date-Informations- 
system aufzubauen, in dem Daten zur Sicherheit von IoT-Produkten zwi¬ 
schen Unternehmen, Regulierem, dem Handel sowie Verbrauchern und Ver¬ 
braucherinnen ausgetauscht und ständig aktualisiert werden können (vgl. 
Jan-Peter Kleinhans, „Improving IoT security in the EU“, 08/2018)? 

15. Wie wird die Bundesregierung bei der Festsetzung der Zertifizierungsnor¬ 
men und der Praxis der freiwilligen Zertifizierungsverfahren sicherstellen, 
dass die Interessen und die Expertise neuer Marktteilnehmer, nationaler Auf¬ 
sichtsbehörden, Nichtregierungsorganisationen (NGO) etc. und die kollek¬ 
tiven Bedürfnisse (Gemeinwohl) hinreichend Berücksichtigung finden? 

16. Wie will die Bundesregierung erreichen, dass beim Prozess der Festsetzung 
der Zertifizierungsnormen Standards bzw. Zertifizierungsansprüche so offen 
gefasst werden, dass auch heute nicht absehbare Sicherheitsrisiken möglichst 
weit eingeschlossen werden, ohne damit zugleich Innovationen auszubrem¬ 
sen? 

17. Wie beurteilt die Bundesregierung die Notwendigkeit einer Klassifizierung 
von IoT-Geräten in Risikoklassen, und einer Setzung klassenspezifischer 
Mindestanforderungen an Sicherheit samt zugehöriger Interventionsmecha¬ 
nismen vergleichbar dem Ansatz bei Arzneimitteln und medizinischen Pro¬ 
dukten beim Bundesinstitut für Arzneimittel und Medizinprodukte samt In¬ 
terventionsmechanismus „Rote-Hand-Brief ‘ auf Bundesebene bzw. durch 
die Medical Device Regulation samt Anlagen auf EU-Ebene? 

18. Welche Maßnahmen wird die Bundesregierung, beispielsweise im Zuge der 
Vorlage des von ihr seit langem angekündigten IT-Sicherheitsgesetzes 2.0. 
ergreifen, um negative ökonomische Anreize etwa im Bereich der Haftung 
zu setzen, um so maßgebliche Anreize für die Etablierung eines Security-by- 
Design-Ansatzes und für verpflichtende Sicherheitsupdates über den gesam¬ 
ten Produktlebenszyklus auf Herstellerseite zu bewirken? 

19. Wie beurteilt die Bundesregierung die aktuelle Einigung zwischen EU-Kom- 
mission, EU-Rat und Europäischem Parlament hinsichtlich des Entwurfs zur 
EU-Warenhandels-Richtlinie, die eine Updateverpflichtung für Software 
verankert, die sich nicht automatisch an der Gewährleistungsfrist, sondern an 
der Verbrauchererwartung orientiert (vgl.: Trilogeinigung Warenhandels-Richt- 
linie, Interinstitutional Files: 2015/0287(COD), Artikel 5, Absatz 2a, https:// 
data.consilium.europa.eu/doc/document/ST-5856-2019-INIT/en/pdf)? 
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20. Wie beabsichtigt die Bundesregierung, den vorgesehenen nationalen Spiel¬ 
raum zu nutzen, um produktspezifische, konkrete Zeiträume für die erforder¬ 
liche Updateverpflichtung national festzulegen? 

Für welche Geräte sollte es nach Ansicht der Bundesregierung konkret fest¬ 
gelegte Zeiträume hinsichtlich der Updateverpflichtung geben, und wie lan¬ 
ge sollten diese jeweils sein? 

Welche politischen Gestaltungsmöglichkeiten sieht die Bundesregierung zur 
Schaffung und Etablierung eines Level Playing Fields für Entwicklung, Han¬ 
del und Einsatz von IoT-Geräten auf den verschiedenen rechtlichen Ebenen 
neben dem bereits oben angesprochenen Haftungsrecht, also etwa auf Ebene 
des EU-Wettbewerbsrechts? 

21. Welche Maßnahmen hält die Bundesregierung außerhalb der Werbewirk¬ 
samkeit eines Gütesiegels noch für zielführend, um ein Entwicklungs- und 
Marktumfeld zu schaffen, das die Etablierung eine Security-by-Design- 
Ansatzes und lange Produktunterstützungszeiten bei den Herstellern unter¬ 
stützt, etwa durch Schaffung und Unterstützung von Ecosystemen zwischen 
Herstellern, Handel, Verwaltung, Aufsichtsbehörden, Stiftungen und For¬ 
schung, die auf Security & Reliability von Hard- und Software insbesondere 
im Industrieeinsatz fokussiert sind? 

22. Wie schätzt die Bundesregierung die Bedeutung eines Europäischen Level 
Playing Fields für Entwicklung, Handel und Einsatz von IoT-Geräten für die 
Deutsche Wirtschaft und den viel beschworenen dritten, genuin europäi¬ 
schen Weg in die digitale Gesellschaft ein? 

Berlin, den 19. Februar 2019 


Katrin Göring-Eckardt, Dr. Anton Hofreiter und Fraktion 
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